Freigeben über


Sicherheitsüberwachung-Datenspalten

Die Sicherheitsüberwachungs-Ereigniskategorie verfügt über die folgenden Ereignisklassen:

Ereignis-ID

Ereignisname

Ereignisbeschreibung

1

Audit Login

Sammelt alle neuen Verbindungsereignisse seit dem Start der Ablaufverfolgung (z. B., wenn ein Client eine Verbindung mit einem Server anfordert, auf dem eine SQL Server-Instanz ausgeführt wird).

2

Audit Logout

Sammelt alle neuen Ereignisse zum Trennen einer Verbindung, die seit dem Start der Ablaufverfolgung eingetreten sind, z. B,. wenn ein Client einen Befehl zum Trennen der Verbindung ausgibt.

4

Audit Server Starts and Stops

Erfasst das Herunterfahren von Diensten, startet Aktivitäten und hält sie an.

18

Audit Object Permission Event

Erfasst Objektberechtigungsänderungen.

19

Audit Admin Operations-Ereignis

Erfasst Serversicherung/-wiederherstellung/-synchronisierung/-anfügung/-trennung/Laden von Bildern (imageload)/Speichern von Bildern (imagesave).

In den folgenden Tabellen sind die Datenspalten für jede dieser Ereignisklassen aufgeführt.

Audit Login

Spaltenname

Spalten-ID

Spaltentyp

Spaltenbeschreibung

EventClass

0

1

Die Ereignisklasse dient zur Kategorisierung von Ereignissen.

CurrentTime

2

5

Zeitpunkt, zu dem das Ereignis gestartet wurde (falls verfügbar). Für das Filtern lauten die erwarteten Formate "JJJJ-MM-TT" und "JJJJ-MM-TT HH:MM:SS".

StartTime

3

5

Zeitpunkt, zu dem das Ereignis gestartet wurde (falls verfügbar). Für das Filtern lauten die erwarteten Formate "JJJJ-MM-TT" und "JJJJ-MM-TT HH:MM:SS".

Severity

22

1

Schweregrad einer Ausnahme.

Success

23

1

1 = Erfolg 0 = Fehler (z. B. gibt 1 den Erfolg einer Berechtigungsüberprüfung und 0 einen Fehler bei dieser Überprüfung an).

Error

24

1

Fehlernummer eines bestimmten Ereignisses.

ConnectionID

25

1

Eindeutige Verbindungs-ID.

NTUserName

32

8

Windows-Benutzername.

NTDomainName

33

8

Windows-Domäne, zu der der Benutzer gehört.

ClientHostName

35

8

Der Name des Computers, auf dem der Client ausgeführt wird. Diese Datenspalte wird aufgefüllt, wenn der Hostname durch den Client bereitgestellt wird.

ClientProcessID

36

1

Die Prozess-ID der Clientanwendung.

ApplicationName

37

8

Der Name der Clientanwendung, die die Verbindung mit dem Server hergestellt hat. Diese Spalte wird mit den Werten aufgefüllt, die von der Anwendung übergeben werden, und nicht mit dem angezeigten Namen des Programms.

NTCanonicalUserName

40

8

Benutzername in kanonischer Form. Zum Beispiel "engineering.microsoft.com/software/someone".

ServerName

43

8

Name des Servers, der das Ereignis erzeugt.

Audit Logout

Spaltenname

Spalten-ID

Spaltentyp

Spaltenbeschreibung

EventClass

0

1

Die Ereignisklasse dient zur Kategorisierung von Ereignissen.

CurrentTime

2

5

Zeitpunkt, zu dem das Ereignis gestartet wurde (falls verfügbar). Für das Filtern lauten die erwarteten Formate "JJJJ-MM-TT" und "JJJJ-MM-TT HH:MM:SS".

EndTime

4

5

Der Zeitpunkt, zu dem das Ereignis beendet wurde. Diese Spalte wird für Startereignisklassen (z. B. SQL:BatchStarting oder SP:Starting) nicht aufgefüllt. Für das Filtern lauten die erwarteten Formate "JJJJ-MM-TT" und "JJJJ-MM-TT HH:MM:SS".

Duration

5

2

Die Zeit (in Millisekunden), die für das Ereignis benötigt wurde.

CPUTime

6

2

Die CPU-Zeit (in Millisekunden), die vom Ereignis verwendet wurde.

Success

23

1

1 = Erfolg 0 = Fehler (z. B. gibt 1 den Erfolg einer Berechtigungsüberprüfung und 0 einen Fehler bei dieser Überprüfung an).

ConnectionID

25

1

Eindeutige Verbindungs-ID.

NTUserName

32

8

Windows-Benutzername.

NTDomainName

33

8

Windows-Domäne, zu der der Benutzer gehört.

ClientHostName

35

8

Der Name des Computers, auf dem der Client ausgeführt wird. Diese Datenspalte wird aufgefüllt, wenn der Hostname durch den Client bereitgestellt wird.

ClientProcessID

36

1

Die Prozess-ID der Clientanwendung.

ApplicationName

37

8

Der Name der Clientanwendung, die die Verbindung mit dem Server hergestellt hat. Diese Spalte wird mit den Werten aufgefüllt, die von der Anwendung übergeben werden, und nicht mit dem angezeigten Namen des Programms.

NTCanonicalUserName

40

8

Benutzername in kanonischer Form. Zum Beispiel "engineering.microsoft.com/software/someone".

ServerName

43

8

Name des Servers, der das Ereignis erzeugt.

Audit Server Starts and Stops

Spaltenname

Spalten-ID

Spaltentyp

Spaltenbeschreibung

EventClass

0

1

Die Ereignisklasse dient zur Kategorisierung von Ereignissen.

EventSubclass

1

1

Die Ereignisunterklasse enthält zusätzliche Informationen zu jeder Ereignisklasse.

Unterklassen-ID

Unterklassenname

1

Instanz heruntergefahren

2

Instanz gestartet

3

Instanz angehalten

4

Instanz fortgesetzt

CurrentTime

2

5

Zeitpunkt, zu dem das Ereignis gestartet wurde (falls verfügbar). Für das Filtern lauten die erwarteten Formate "JJJJ-MM-TT" und "JJJJ-MM-TT HH:MM:SS".

Severity

22

1

Schweregrad einer Ausnahme.

Success

23

1

1 = Erfolg 0 = Fehler (z. B. gibt 1 den Erfolg einer Berechtigungsüberprüfung und 0 einen Fehler bei dieser Überprüfung an).

Error

24

1

Fehlernummer eines bestimmten Ereignisses.

TextData

42

9

Dem Ereignis zugeordnete Textdaten.

ServerName

43

8

Name des Servers, der das Ereignis erzeugt.

Audit Object Permission Event

Spaltenname

Spalten-ID

Spaltentyp

Spaltenbeschreibung

ObjectID

11

8

Objekt-ID (beachten Sie, dass dies eine Zeichenfolge ist).

ObjectType

12

1

Objekttyp.

ObjectName

13

8

Objektname.

ObjectPath

14

8

Objektpfad. Eine durch Trennzeichen getrennte Liste von übergeordneten Elementen, die beim übergeordneten Element des Objekts beginnt.

ObjectReference

15

8

Objektverweis. Codiert als XML für alle übergeordneten Elemente, das Verwenden von Tags, um das Objekt zu beschreiben.

Severity

22

1

Schweregrad einer Ausnahme.

Success

23

1

1 = Erfolg 0 = Fehler (z. B. gibt 1 den Erfolg einer Berechtigungsüberprüfung und 0 einen Fehler bei dieser Überprüfung an).

Error

24

1

Fehlernummer eines bestimmten Ereignisses.

ConnectionID

25

1

Eindeutige Verbindungs-ID.

DatabaseName

28

8

Name der Datenbank, in der die Anweisung des Benutzers ausgeführt wird.

NTUserName

32

8

Windows-Benutzername.

NTDomainName

33

8

Windows-Domäne, zu der der Benutzer gehört.

ClientHostName

35

8

Der Name des Computers, auf dem der Client ausgeführt wird. Diese Datenspalte wird aufgefüllt, wenn der Hostname durch den Client bereitgestellt wird.

ClientProcessID

36

1

Die Prozess-ID der Clientanwendung.

ApplicationName

37

8

Der Name der Clientanwendung, die die Verbindung mit dem Server hergestellt hat. Diese Spalte wird mit den Werten aufgefüllt, die von der Anwendung übergeben werden, und nicht mit dem angezeigten Namen des Programms.

SessionID

39

8

Sitzungs-GUID.

NTCanonicalUserName

40

8

Benutzername in kanonischer Form. Zum Beispiel "engineering.microsoft.com/software/someone".

SPID

41

1

Serverprozess-ID. Hierdurch wird eine Benutzersitzung eindeutig gekennzeichnet. Dies entspricht direkt dem von XML/A verwendeten Sitzungs-GUID.

TextData

42

9

Dem Ereignis zugeordnete Textdaten.

ServerName

43

8

Name des Servers, der das Ereignis erzeugt.

Audit Admin Operations-Ereignis

Spaltenname

Spalten-ID

Spaltentyp

Spaltenbeschreibung

EventSubclass

1

1

Die Ereignisunterklasse enthält zusätzliche Informationen zu jeder Ereignisklasse.

Unterklassen-ID

Unterklassenname

1

Backup

2

Restore

3

Synchronize

4

Detach

5

Attach

6

ImageLoad

7

ImageSave

Severity

22

1

Schweregrad einer Ausnahme.

Success

23

1

1 = Erfolg 0 = Fehler (z. B. gibt 1 den Erfolg einer Berechtigungsüberprüfung und 0 einen Fehler bei dieser Überprüfung an).

Error

24

1

Fehlernummer eines bestimmten Ereignisses.

ConnectionID

25

1

Eindeutige Verbindungs-ID.

DatabaseName

28

8

Name der Datenbank, in der die Anweisung des Benutzers ausgeführt wird.

NTUserName

32

8

Windows-Benutzername.

NTDomainName

33

8

Windows-Domäne, zu der der Benutzer gehört.

ClientHostName

35

8

Der Name des Computers, auf dem der Client ausgeführt wird. Diese Datenspalte wird aufgefüllt, wenn der Hostname durch den Client bereitgestellt wird.

ClientProcessID

36

1

Die Prozess-ID der Clientanwendung.

ApplicationName

37

8

Der Name der Clientanwendung, die die Verbindung mit dem Server hergestellt hat. Diese Spalte wird mit den Werten aufgefüllt, die von der Anwendung übergeben werden, und nicht mit dem angezeigten Namen des Programms.

SessionID

39

8

Sitzungs-GUID.

NTCanonicalUserName

40

8

Benutzername in kanonischer Form. Zum Beispiel "engineering.microsoft.com/software/someone".

SPID

41

1

Serverprozess-ID. Hierdurch wird eine Benutzersitzung eindeutig gekennzeichnet. Dies entspricht direkt dem von XML/A verwendeten Sitzungs-GUID.

TextData

42

9

Dem Ereignis zugeordnete Textdaten.

ServerName

43

8

Name des Servers, der das Ereignis erzeugt.

Siehe auch

Andere Ressourcen

Sicherheitsüberwachung-Ereigniskategorie